0x00 定義:
入侵防御系統是一部能夠監視網絡或網絡設備的網絡資料傳輸行為的計算機網絡安全設備,能夠即時的中斷、調整或隔離一些不正常或是具有傷害性的網絡資料傳輸行為。
0x01 產生背景 :
1、串行部署的防火牆可以攔截低層攻擊行為,但對應用層的深層攻擊行為無能為力。
2、旁路部署的IDS可以及時發現那些穿透防火牆的深層攻擊行為,作為防火牆的有益補充,但很可惜的是無法實時的阻斷。
3、IDS和防火牆聯動:通過IDS來發現,通過防火牆來阻斷。但由於迄今為止沒有統一的接口規范,加上越來越頻發的“瞬間攻擊”(一個會話就可以達成攻擊效果,如SQL注入、溢出攻擊等),使得IDS與防火牆聯動在實際應用中的效果不顯著。
入侵檢測系統(IDS)對那些異常的、可能是入侵行為的數據進行檢測和報警,告知使用者網絡中的實時狀況,並提供相應的解決、處理方法,是一種側重於風險管理的安全產品。
入侵防御系統(IPS)對那些被明確判斷為攻擊行為,會對網絡、數據造成危害的惡意行為進行檢測和防御,降低或是減免使用者對異常狀況的處理資源開銷,是一種側重於風險控制的安全產品。
IDS和IPS的關系,並非取代和互斥,而是相互協作:沒有部署IDS的時候,只能是憑感覺判斷,應該在什么地方部署什么樣的安全產品,通過IDS的廣泛部署,了解了網絡的當前實時狀況,據此狀況可進一步判斷應該在何處部署何類安全產品(IPS等)。
0x02 功能:
1、入侵防護:實時、主動攔截黑客攻擊、蠕蟲、網絡病毒、后門木馬、Dos等惡意流量,保護企業信息系統和網絡架構免受侵害,防止操作系統和應用程序損壞或宕機。
2、Web安全:基於互聯網Web站點的掛馬檢測結果,結合URL信譽評價技術,保護用戶在訪問被植入木馬等惡意代碼的網站時不受侵害,及時、有效地第一時間攔截Web威脅。
3、流量控制:阻斷一切非授權用戶流量,管理合法網絡資源的利用,有效保證關鍵應用全天候暢通無阻,通過保護關鍵應用帶寬來不斷提升企業IT產出率和收益率。
4、上網監管:全面監測和管理IM即時通訊、P2P下載、網絡游戲、在線視頻,以及在線炒股等網絡行為,協助企業辨識和限制非授權網絡流量,更好地執行企業的安全策略。
0x03 技術特征:
嵌入式運行:只有以嵌入模式運行的 IPS 設備才能夠實現實時的安全防護,實時阻攔所有可疑的數據包,並對該數據流的剩余部分進行攔截。
深入分析和控制:IPS必須具有深入分析能力,以確定哪些惡意流 量已經被攔截,根據攻擊類型、策略等來確定哪些流量應該被攔截。
入侵特征庫:高質量的入侵特征庫是IPS高效運行的必要條件,IPS還應該定期升級入侵特征庫,並快速應用到所有傳感器。
高效處理能力:IPS必須具有高效處理數據包的能力,對整個網絡性能的影響保持在最低水平。
(author https://www.cnblogs.com/Shepherdzhao/)
0x04 主要類型:
1.基於特征的IPS
這是許多IPS解決方案中最常用的方法。把特征添加到設備中,可識別當前最常見的攻擊。也被稱為模式匹配IPS。特征庫可以添加、調整和更新,以應對新的攻擊。
2. 基於異常的IPS
也被稱為基於行規的IPS。基於異常的方法可以用統計異常檢測和非統計異常檢測。
3、基於策略的IPS
它更關心的是是否執行組織的安保策略。如果檢測的活動違反了組織的安保策略就觸發報警。使用這種方法的IPS,要把安全策略寫入設備之中。
4.基於協議分析的IPS
它與基於特征的方法類似。大多數情況檢查常見的特征,但基於協議分析的方法可以做更深入的數據包檢查,能更靈活地發現某些類型的攻擊。
0x05 主動被動:
IPS傾向於提供主動防護,其設計宗旨是預先對入侵活動和攻擊性 網絡流量進行攔截,避免其造成損失,而不是簡單地在惡意流量傳送 時或傳送后才發出警報。
0x06 使用方式:
串聯部署在具有重要業務系統或內部網絡安全性、保密性較高的 網絡出口處。